15 de janeiro de 2025 – O ecossistema Web3 enfrentou um ano devastador de roubos digitais, com perdas por ataques hackers disparando para quase US$ 4 bilhões. Segundo um relatório fundamental da empresa de segurança blockchain Hacken, o impressionante total de US$ 3,95 bilhões representa um aumento significativo em relação a 2024, revelando uma vulnerabilidade crítica nas defesas operacionais da indústria. Alarmantemente, mais da metade dessas perdas catastróficas está diretamente ligada a grupos sofisticados de hackers associados à Coreia do Norte, destacando uma crise global de segurança que vai muito além dos mercados financeiros.
Perdas por Hackers em Web3 Alcançam Ponto Crítico em 2025
O valor de US$ 3,95 bilhões representa uma escalada severa tanto na escala quanto na sofisticação dos ataques direcionados a protocolos de finanças descentralizadas (DeFi), pontes cross-chain e exchanges centralizadas. Os dados da Hacken, citados pela publicação do setor Cointelegraph, indicam uma perigosa concentração de perdas apenas no primeiro trimestre, que correspondeu a mais de US$ 2 bilhões. Esse aumento no início do ano definiu um precedente preocupante para todo o ano, destacando como os atacantes estão explorando a volatilidade sazonal do mercado e atualizações de protocolos. Consequentemente, o dano financeiro cumulativo agora ameaça a confiança dos investidores e pode potencialmente desacelerar a adoção mainstream da tecnologia blockchain. A tendência demonstra uma clara mudança de roubos oportunistas para campanhas coordenadas e patrocinadas por Estados, projetadas para máxima extração financeira.
O Papel Dominante dos Adversários Cibernéticos da Coreia do Norte
A análise da Hacken traz uma dimensão geopolítica sóbria às perdas financeiras. A empresa atribui mais de 50% do valor total roubado — cerca de US$ 2 bilhões — a grupos de ameaças persistentes avançadas (APT) com ligações estabelecidas à Coreia do Norte. Grupos como Lazarus, que foram sancionados pelo Departamento do Tesouro dos EUA, são notórios por canalizar criptomoedas roubadas para os programas de armas do país. Esses atores empregam esquemas altamente complexos de engenharia social e exploram fraquezas de infraestrutura, em vez de falhas puramente técnicas de código. Seu sucesso contínuo sinaliza uma falha dos modelos tradicionais de cibersegurança no ambiente permissionless do Web3, onde erros humanos e lapsos procedimentais criam portas abertas para atacantes com recursos de Estado.
Segurança Operacional: O Calcanhar de Aquiles da Indústria
Talvez o insight mais revelador do relatório seja a causa raiz da maioria das violações. A Hacken descobriu que a esmagadora maioria dos incidentes de segurança decorre de uma profunda falta de disciplina em segurança operacional (OpSec). Isso inclui má gestão de chaves privadas, ataques de phishing a membros das equipes, configurações inseguras de carteiras multi-assinatura e ameaças internas. Em contraste, as perdas atribuídas diretamente a vulnerabilidades em códigos de smart contracts totalizaram apenas US$ 512 milhões, ou cerca de 13% do total. Esses dados sugerem que, embora os desenvolvedores tenham avançado em escrever códigos mais seguros, as camadas humanas e procedimentais que cercam esses protocolos permanecem criticamente expostas. O foco da indústria deve se expandir de auditorias puras de código para frameworks de segurança abrangentes que cubram pessoal, comunicação e controles de acesso.
Análise Comparativa das Perdas por Hacks em Cripto (2023-2025)
| 2023 | ~US$ 1,8B | Exploits em Smart Contracts | Hacks de lógica em protocolos DeFi dominaram. |
| 2024 | ~US$ 3,2B | Exploits em Pontes & Cross-Chain | Aumento nos ataques à infraestrutura. |
| 2025 | ~US$ 3,95B | Falhas de Segurança Operacional | APTs norte-coreanas visam fatores humanos. |
A tabela acima ilustra uma clara evolução na estratégia dos atacantes. O foco mudou de encontrar bugs inéditos em códigos imutáveis para explorar elementos humanos e administrativos mais maleáveis em projetos de cripto.
Caminhos para o Futuro: Regulação e Melhoria dos Padrões de Segurança
Em resposta à crise crescente, a Hacken projeta um ponto de virada. A empresa prevê que os padrões de segurança em toda a indústria Web3 começarão a melhorar materialmente a partir de 2026. Esse otimismo baseia-se em recomendações regulatórias de entidades como a Financial Action Task Force (FATF) e órgãos reguladores nacionais de valores mobiliários, que estão migrando de orientações voluntárias para exigências obrigatórias. As áreas-chave de foco provavelmente incluirão:
- Prova de Reservas e Auditorias Obrigatórias: Auditorias regulares e transparentes por terceiros para qualquer entidade que detenha fundos de usuários.
- Protocolos KYC/AML Aprimorados: Verificação de identidade mais rigorosa, especialmente para protocolos que interagem com finanças tradicionais.
- Certificação de Segurança para Equipes: Requisitos para que equipes principais dos projetos passem por treinamento e certificação em segurança operacional.
- Mandatos de Resposta a Incidentes: Protocolos formais para divulgação de hacks e compensação dos usuários, reduzindo a ambiguidade pós-ataque.
Embora parte da comunidade resista ao aumento da regulação, a escala das perdas ligadas a atores geopolíticos pode tornar inevitável uma resposta defensiva coordenada. O objetivo é criar princípios de segurança-by-design tão fundamentais quanto a própria descentralização.
Conclusão
Os quase US$ 4 bilhões em perdas por hacks em Web3 em 2025 servem como um sério alerta para toda a indústria de ativos digitais. O fato de mais da metade desse montante alimentar agendas estatais norte-coreanas confere um peso geopolítico urgente ao problema de segurança. A principal lição é inequívoca: o elo mais fraco não está mais apenas no código dos smart contracts, mas cada vez mais nas práticas operacionais que os cercam. À medida que a indústria amadurece, a integração de padrões de segurança robustos e obrigatórios, junto com seu ethos inovador, será o desafio definidor. As melhorias projetadas para 2026 dependem de todo o ecossistema — desenvolvedores, investidores e reguladores — priorizando a segurança com a mesma intensidade aplicada à inovação tecnológica.
Perguntas Frequentes
P1: Qual foi a principal causa das perdas por hacks em Web3 em 2025?
R1: O relatório identificou a falta de disciplina em segurança operacional (OpSec) como a principal causa. Isso inclui phishing, comprometimento de chaves privadas e ameaças internas, respondendo por perdas muito maiores do que simples bugs de código em smart contracts.
P2: Como a Coreia do Norte converte criptomoedas roubadas em fundos utilizáveis?
R2: Grupos hackers norte-coreanos usam técnicas sofisticadas de lavagem. Isso inclui uso de exchanges descentralizadas (DEXs), swaps cross-chain, mixers de criptomoedas e o envio de fundos por serviços de conversão para fiat em regiões com pouca fiscalização para obscurecer o rastro e sacar os valores.
P3: Qual a diferença entre uma vulnerabilidade em smart contract e uma falha de segurança operacional?
R3: Uma vulnerabilidade em smart contract é uma falha ou bug no código imutável de um protocolo que pode ser explorado por um atacante. Uma falha de segurança operacional é um erro humano ou procedimental, como um membro da equipe clicar em um link de phishing ou armazenar a chave privada de uma carteira em um serviço de nuvem inseguro.
P4: Por que a Hacken projeta que a segurança irá melhorar a partir de 2026?
R4: A projeção baseia-se na expectativa de que as atuais recomendações regulatórias voluntárias para cibersegurança, prevenção à lavagem de dinheiro (AML) e procedimentos de know-your-customer (KYC) se tornarão legalmente obrigatórias para negócios Web3, forçando um nível mais alto de práticas de segurança.
P5: O que os usuários individuais podem fazer para se proteger nesse ambiente?
R5: Os usuários devem utilizar carteiras físicas para armazenar ativos, usar autenticação multifatorial (MFA) em todas as contas de exchanges, verificar todos os URLs de sites e canais de comunicação, nunca compartilhar frases-semente e diversificar os fundos entre várias plataformas respeitáveis e soluções de autocustódia.
